Para remover o virus sality que possui algumas variantes, é necessário analisar primeiramente alguns pontos:
Se o computador que apresenta o virus está em rede
As maquinas da rede utilizam mapeamento de rede como por exemplo F: Z: baseados em algum servidor
Situação 1 – computador não está em rede:
Caso o equipamento seja único e não esteja em rede será mais fácil siga os passos a seguir:
Desative a restauração de sistema
Desative a proteção em tempo real de seu anti-virus
Baixe os arquivos nos links abaixo
http://support.kaspersky.com/downloads/utils/sality_off.zip
http://media.kaspersky.com/utilities/VirusUtilities/EN/sality_regkeys.zip
este arquivo zipado contem 2 pastas, Na pasta sality_regkeys clique duas vezes no disable_autorun.reg e aceita a edição de registro, faça isso também no safeboot_(Windows que você utiliza).reg
Agora execute dentro da outra pasta chamada salitykiller o executavel salitykiiller.exe ele ira fazer um escaneamento demorado verificando todos os arquivos infectados.
No final ele ira apresentar se todos os arquivos foram limpos com êxito.
Após isso reinicie o equipamento, ative novamente o anti-virus e a restauração de sistema, agora é só analisar que o sality não ira mais perturbar.
Situação 2 – computador em rede:
Os micros não se infectam simplesmente por estar em rede, mas sim por que utilizam algum mapeamento em algum servidor ou terminal, sendo assim quando acessam o mapeamento sendo ele com qualquer letra (exmplo: F: G: M:).
Ao acessar esse mapeamento os computadores que não estão protegidos executam o autorun.inf que é o arquivo que contamina a maquina e espalha pequenos executáveis que causam todo transtorno. Sendo assim verifique qual o mapeamento e que máquina é esta que esta compartilhando tal arquivo autorun.inf, lembre-se de começar a limpeza por ela.
Uma recomendação para que não volte a ter o problema as pastas compartilhadas devem ter uma pasta chamada autorun.inf com permissões apenas de leitura.
Iniciando a Limpeza micro a micro na rede com o Switch ou cabo de rede desligado:
Desative a restauração de sistema
Desative a proteção em tempo real de seu anti-virus
Baixe os arquivos nos links abaixo
http://support.kaspersky.com/downloads/utils/sality_off.zip
http://media.kaspersky.com/utilities/VirusUtilities/EN/sality_regkeys.zip
este arquivo zipado contem 2 pastas, Na pasta sality_regkeys clique duas vezes no disable_autorun.reg e aceita a edição de registro, faça isso também no safeboot_(Windows que você utiliza).reg
Agora execute dentro da outra pasta chamada salitykiller o executavel salitykiiller.exe ele ira fazer um escaneamento demorado verificando todos os arquivos infectados.
No final ele ira apresentar se todos os arquivos foram limpos com êxito.
Após isso reinicie o equipamento, ative novamente o anti-virus e a restauração de sistema, agora é só analisar que o sality não ira mais perturbar.
Qualquer dúvida façam seus comentários,
Obrigado.
Esse virus é muito ruim, dificil de tirar pra mim apareceu como sality/32
Ta dificil remover esse sality, o praga
vou tentar pelo tutorial, valeu
Por que o virus sality se propaga na rede?
Por causa das maquinas que acessam o mapeamento assim lendo o autorun.inf
Olá Lofrano, tudo bem, espero que sim, meu brother foi pela sua dica que consegui parcialmente exluir uma série desse virus "SALYTI", tenho uma lanhouse, e me cansei de todo dia ter que formatar máquinas, mas uma duvida ainda tenho porque nao posso fazer um scaneamento em rede (ligada), GRATO pela atenção e mais uma vez parabens pelo trabalho.
Adélio obrigado, o que faz o sality infectar as maquinas é o mapeamento que você tem nos terminais ex: F: h: a pasta que se refere o mapeamento tem um arquivo autorun.inf que faz executar o virus e infectar novamente, por isso verifique seu servidor e crie no lugar uma pasta autorun.inf com arquivos dentro para que o sality não altere mais.
Outra coisa importante é desabilitar o auto executar dos terminais.
Boa tarde, prezado amigo, vou seguir seu conselho,
esse bicho encasquetado, invadiu minha rede e ta dando um maior trabalho pra jogar ele fora, ele é pior que o 007 pra morrer..
ja fizemos de tudo, porem, a sua dica ainda nao fizemos...
se funcionar, voce merecerá um premio por esta postagem. grande abraço e Parabens pela brilhante iniciativa de cooperação.
Seus conhecimentos sao importantes para nossa rede profissional.
Lúcio, funciona perfeitamente, se tiver duvidas pode contar conosco
Boa tarde, muito boa suas instruções. Consegui eliminar este virus. muito grato.
eu percebi que em um dos meus computadores clientes persistia o mapeamento h: fui lá no prompt de comando e digitei net use * /delete
tudo certo!
CARA VOU LHE DAR A DICA, DESATIVE A RESTAURAÇAO DO SISTEMAS DE TODAS AS UNIDADES, BAIXE O ANTIVIRUS NOD32, E ASSIM QUE VOCE INSTALAR QUE ELE COMEÇAO A RODAR APOS A INSTALAÇAO ELE VAI ENCONTRAR O SALITY NA MEMORIA RODANDO, E VAI PEDIR PARA REINICIAR PARA REMOVER O VIRUS, REINICIE O PC, E DEPOIS ATUALIZE O ANTIVITUS, E ESCEIE COMPLETAMENTE, FIZ O TESTE COM UNS 20 ANTIVIRUS DISTINTOS E NAO TIVE SUCESSO, O UNICO QUE RESOLVEL MEU PROBLEMA FOI CO O ESET NOD32, PODE DEIXAR ELE ESCANEAR, ELE IRA ENCONTRAR MUITOS ARQUIVOS COM O NOME DE ARQUIVOS SEUS, MAS AI E QUE ESTA, O SALITY ELE SE CLONA COM SEUS ARQUIVOS PARA CONFUNDDIR O USUARIO E FAZER O USUARIO DESATIVAR O ANTIVIRUS, MANDE O NOD32 FAZER UMA LIMPEZA GERAL NA UNIDADE C: DEPOIS EM D:, DEPOIS PASSE O CCLEANER PARA LIMPARA TODAS AS CHAVES INVALIDAS CRIADAS PELO VIRUS, E PRONTO...
Obrigado amigo tava precisando mesmo!
Pega msm?
A PASTA sality_regkeys NAO TEM PRA WINDOWS 7.O QUE EU FAÇO ???????
Pode usar a mesma pra windows 7
e esse programa que você passou ele limpa os prog infectados ou exclui todos eles? pq o avast ele até localiza porem pra remove-lo soh excluindo td...e tem arquivos aqui que não posso perder....
brigadão pelo tutorial
O sality remover apenas limpa os arquivos
Estou fazendo o teste aqui, e torcendo pra que tudo de certo, tenho 12 maquinas infectadas por esse maldito Sality.
Tenho uma duvida, vc sabe se realmente as informaçoes que entram nos pcs vao pra um email?
Obrigado
Seguindo os passos jeferson, pode ter certeza que tudo será resolvido.
Não esqueça de trabalhar o arquivo na maquina que está infectando, no caso um servidor com Sality
Carissimo esse virus me pegou de cheio, e o pior é que falei com o técnico e ele me disse que era um arquivo do windows. Até eu me tocar que o cara tava errado paguei auto. Mas a dica que peguei aqui me deu uma noção por auto do que era o problema. Exigi da empresa que me da suporte que consultasse na net, foi ai que resolvi o problema. MUITISSIMO OBRIGADO
Não existe problema que não tenha solução! Remover o virus sality e um deles
esse virus sality, nao tem função certo? ou eh possivel q tenha um keylogger? ;s
Correto vini, ele não tem função, aliás a função do sality é enxer o saco rs
meu, muito obrigado, eu fiz isso ontem, demorou ate hj de amanha, pois meu pc possui uns 200 gb em jogo etc todos os foram encontrados e como o programa disse "cured" só que o problema do Microsoft visual c+++ o erro la de floating ainda persiste ;/
foram mais de 6 mil arquivos infectados, antes eu nao conseguia entrar no site do kaspersky, nao sei proque uhahua dava erro , agr consigo.. vou baixar o kis 2013 e ver o q mais tem de virus aki ;s mas essa chatisse do visual c+++ é cpmplicado ;s
Meu servidor é linux (samba) como faço para remover esse virús? já tentei de tudo..
Observe que voce tem no servidor linux a pasta compartilhada e a mesma tem um arquivo chamado autorun.inf vc precisa deletar, no linux tem a função veto de que esse arquivo não seja gravado novamente na pasta
Vlw funciono aqui limpo o sality :D Muito bom esse site Muito obrigado....
mas nao tem pro win 7??
mais acima vc escreveu que pode usar a mesma pra win7...mas qual?? XP? Vista? ou sao todas iguais?
serve para todos, windows xp vista e 7
Não consegui fazer a edição do registro do arquivo Safeboot, apenas do Autorun. Quando tento, ocorre um erro. Informa que algumas chaves estão abertas pelo sistema ou outros processos.
Há alguma solução?
Att, Gustavo.
Preocupe-se com o mapeamento que há no computador, tipo F: direcionado a um servidor, este servidor deve estar contaminando
Não compreendi. Poderia me explicar mais detalhadamente? Não tenho um conhecimento amplo em informática.
Já tentei de tudo para tirar esse safado da rede, oh vírus chato em! Sabe me dizer se ele se propaga por compartilhamentos SAMBA sem mapeamento? Tenho servidor SAMBA (linux) e servidor Windows e não sei ao certo se os dois estão com o problema.
O sality utiliza do mapeamento para se propagar, mesmo se o mapeamento for em distribuições linux
sem mapeamento ele não consegue infectar novamente.
Boa tarde, também estou sofrendo por causa desse sality, mas o link da descrição não é encontrado... isso acontece só comigo ? Obrigado
o link http://www.circuitoonline.com.br/downloads/remover_sality.zip
foi corrigido.
Amigo, belo post, fiz como manda o figurino, todas as maquinas da rede foi perfeito porem teve uma que ainda ficou com um infectado dos arquivos de restauracao, porem a restauracao esta desativada, tem algum macete? muito agradecido!!
desativar a restauração automatica e aplicar novamente.
verifique também o servidor ou máquina que está fazendo compartilhamento de pastas
porque tenho que desativar a restauraçao do sistema?
quando eu clico para aceita a edição de registro da um erro que registro foi desativado pelo usuario
voce precisa de permissões administrativas
esse seu tutorial usa os arquivos do karpesky certo? eu to seguindo um tutorial "parecido" com os arquivos que o kaspersky fornece, e me indicaram deixar o Salitykiller como atalho no "startup" com o -M. esse virus é uma merda, esse virus é so mesmo para encher o saco? porque eu vi nos bancos de dados de varios Antivirus que alguns como o sality.ae tão definidos como risco alto
Não esqueça de ver os mapeamentos, eles fazem a propagação do sality
Boa noite Lofrano, estou com esse problema na loja em que trabalho fiz o procedimento conforme o passo a passo mesmo assim o vírus persiste. Peço ajuda para tentar resolver, XP SP3. Grato desde já.
Não esqueça de desativar a restauração do sistema antes!
e o problema maior é o mapeamento, verifique seu servidor, e se possivel execute a vacina com o swith desligado.
prezado lofrano, estou aqui porque nao con sigo entrar no site que voce recomendou e eu ja destivei as coisas que pedia assim: ele entra mas o primeiro qudrinho esta dando error e nao achei nenhuma pasta oque eu faço amigo?
segue
http://support.kaspersky.com/downloads/utils/sality_off.zip
Sendo assim verifique qual o mapeamento e que máquina é esta que esta compartilhando tal arquivo autorun.inf, lembre-se de começar a limpeza por ela.
Ak como faço pra saber qual e a maquina ? tenho muitas maquinas com pastas compartilhadas tem uma forma mais rápido ou vou ter que ir em maquina por maquina.
Uma recomendação para que não volte a ter o problema as pastas compartilhadas devem ter uma pasta chamada autorun.inf com permissões apenas de leitura.
como seria isso ?